TeamViewerシングルサインオン(SSO)は、TeamViewerをIDプロバイダーやユーザーディレクトリと関連付けることで、大企業のユーザー管理の負担を軽減することを目的としています。

この記事は、TeamViewer Enterprise/Tensor ライセンスお持ちのお客様に適用されます

必要条件

TeamViewer シングルサインオンを使用するには、以下が必要です。

  • TeamViewer バージョン 13.2.1080 またはそれ以降
  • SAML 2.0対応のIDプロバイダ(IdP)*
  • Management Console にアクセスし、ドメインを追加するためのTeamViewer アカウント
  • ドメインの所有権を確認するための、ドメインのDNS管理へのアクセス権
  • TeamViewer Tensor ライセンス

TeamViewer 構成

シングルサインオン(SSO)は、該当するドメインのメールアドレスを使用するすべてのTeamViewerアカウントに対して、ドメインレベルで有効化されます。有効化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、ドメイン用に設定されたIDプロバイダに誘導されます。

セキュリティおよび悪用防止のため、この機能を有効にする前にドメインの所有権を確認する必要があります。

新しいドメインを追加する

SSOを有効にするには、Management Console にログインし、 会社の管理を選択し、シングルサインオンメニューエントリーを選択します。ドメインの追加をクリックし、SSOを有効にするドメインを入力します。

また、IDプロバイダのメタデータを提供する必要があります。。これには3つのオプションがあります:

  • URL経由: IdPメタデータのURLを指定のフィールドに入力します。
  • XML経由:メタデータXMLを選択してアップロードします。
  • 手動設定:必要な情報をすべて手動で入力します。公開鍵はBase64エンコードされた文字列でなければならないことに注意してください。

完了したら、続行をクリックします。

ここで、SSOから除外したいメールアドレスまたはユーザーグループを選択し、ドメインの追加をクリックします。

カスタム識別子の作成

ドメインの追加後、カスタム識別子を生成することができます。このカスタム識別子は TeamViewer には保存されませんが、SSO の初期設定に使用されます。シングルサインオンが解除され、新しい設定が必要になるため、いかなる時点でもこれ を変更してはいけません。任意のランダムな文字列を顧客識別子として使用できます。この文字列は後でIDPの構成に必要になります。カスタム識別子を生成するには、「作成(Generate)」をクリックします。

ドメインの所有権を確認する

ドメインが正常に追加された後、ドメインの所有権を確認する必要があります。

ドメイン認証が完了するまでは、シングルサインオンは有効になりません。

ドメインを検証するには、検証ページに表示されている値でドメインの新しいTXTレコードを作成してください。

📌 注意: DNSシステムのため、検証プロセスには数時間かかることがあります。

📌 注意:ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。

新しいTXTレコードを作成したら、検証開始ボタンをクリックして検証プロセスを開始します。

📌 注意:DNSシステムの関係上、認証に数時間かかることがありますのでご注意ください。

💡ヒント: TeamViewer は、検証を開始してから 24 時間、TXT 検証レコードを検索します。24時間以内にTXTレコードが見つからない場合、検証は失敗し、ステータスがそれに応じて更新されます。この場合、このダイアログから検証を再開する必要があります。

OneLogin 用 ID プロバイダーの設定

💡ヒント: 設定に応じて、OneLoginのアプリケーションにユーザーを割り当てる必要があります。

TeamViewer OneLoginアプリを使った自動設定

OneLogin管理者ダッシュボードにログインします。

  1. TeamViewer アプリケーションを追加します。
  2. アプリ構成のパラメータタブに移動します。
  3. Customer Identifierフィールドに値を入力します。
  4. 変更を保存します。
  5. アプリケーションにユーザーを割り当てます。
  6. MCO のドメイン管理でメタデータを使用して SAML を有効にします。

TeamViewer クライアント設定

TeamViewer は、バージョン13.2.1080からシングルサインオンと互換性があります。

以前のバージョンはシングルサインオンをサポートしていないため、ログイン中にユーザをIDプロバイダにリダイレクトすることはできません。クライアント設定はオプションですが、IdPのSSOログインに使用するブラウザを変更することができます。

TeamViewer クライアントは、デフォルトで ID プロバイダ認証に組み込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用する場合は、この動作を変更できます:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌注意: レジストリを作成または変更した後、TeamViewer クライアントを再起動する必要があります。